フレームワークの責務とセキュリティ - MugeSoの日記

お久しぶりです。 夜中にモツ煮込み作りながら書いてます。 さて、今回はフレームワークの責務とセキュリティについて思うところがあって久しぶりにエントリを書くことにしました。 背景 まず、背景としてBEAR.Sundayの一部であるBEAR.PackageにサンプルとしてBasic認証の実装を追加するPullRequest#90でのやり取りがあります。このPRはzukimochiさんが作ったものに僕が修正を加えて出した物です。この中では、Basic認証用のパスワードをハッシュとして扱うように実装されています。 多くの人が斜め読みしているのは背景説明が長すぎるからだと思ったので削除しました。詳しく知りたい方はPRをご覧ください。 本題 いよいよ本題です。 PRの最後にkoriymさんが発言している次の言葉はフレームワーク開発に於いてとても重要です。 より関心のある問題に集中するために、特に専門と

[akasata]

元のフレームワークを知らないので何とも言えないけど、機能を切り捨ててセキュリティに詳しい人の実装を待つとかで良さそう

[kazuhooku]

一般論として、パスワードをどうやって暗号化するかは通信手法や認証サブシステム(HTTP Basic,Digest,SASL,Keberos...)によるので、WAFで限定しないほうがいいというかWAFの仕事じゃない/書いた http://bit.ly/17FzyCR

[escape_artist]

大垣さんと徳丸さんの参戦が期待されている感じ？

[with_no_parachute]

ギッハブで日本語。セキュリティの意識高い。環境変数で良くね？>やだファイルがいい この辺からミスマッチしてる気がする。

[tak4hir0]

フレームワークの責務とセキュリティ - MugeSoの日記

[alphabet_h]

ハッシュ化するメソッドに虫が潜んでる場合もあるし、そこは独自実装のメソッドと切り替えられるようにしておいた方がいいんじゃないかしら。あと、バグがあった場合、更新されず残る場合があるというリスクもある。

[k-holy]

フレームワークと一言で言っても対象範囲はそれぞれ違って当然ですが、公式のサンプルという意味では安全な実装にした方がいいかと。ただ今のBEARの位置付けを考えるとどうなのかなーとか

[you21979]

phpのフレームワークが守ってくれなくて誰がphpのセキュリティーを担保するんだろ

[takezaki]

いい話

[tmatsuu]

サンプルのソースコードというのは想像以上に参照/コピペされることになるので、セキュアな実装にしておくのが望ましいと思います。

[derby]

あえてバランスについて考えてみると、素のBasic認証は生を扱うので、それで使い道を誤らなければいいような気がする。

[htnmiki]

koriymさんの今後が楽しみですね。

[ockeghem]

『ならばどうすればいいのか、選択肢は3つほどあります』<同意ですが、2の「リスクの周知徹底」はあくまで最低源の責務という感じですね